Secport.pl

Windows server WSUS

WSUS jest usługą serwerową Microsoft, która umożliwia administratorom sieci pobieranie aktualizacji z serwerów Microsoft Update i zarządzanie nimi wewnątrz własnej sieci. Pozwala na selektywne wdrażanie aktualizacji, testowanie ich przed zastosowaniem na większą skalę oraz monitorowanie statusu aktualizacji na różnych urządzeniach.

Dlaczego WSUS jest Ważny?

  1. Kontrola nad Aktualizacjami: WSUS daje możliwość decydowania, które aktualizacje są wdrażane, kiedy i w jaki sposób.
  2. Przepustowość Pasma Sieciowego: Pobieranie aktualizacji na jeden serwer WSUS w sieci i dystrybucja ich do innych komputerów zmniejsza użycie pasma internetowego.
  3. Zapewnienie Zgodności: WSUS pomaga w utrzymaniu zgodności systemów z wewnętrznymi i zewnętrznymi standardami bezpieczeństwa.
  4. Automatyzacja Procesu Aktualizacji: Automatyczne aktualizacje zapewniają, że wszystkie systemy są na bieżąco z najnowszymi poprawkami bezpieczeństwa.
  1. Instalacja Roli WSUS:
    • W Menedżerze serwera, wybierz opcję „Dodaj role i funkcje”.
    • Przejdź przez Kreatora dodawania ról i funkcji, aż dojdziesz do „Roli serwera”.
    • Zaznacz „Windows Server Update Services”. System może poprosić o dodanie funkcji dodatkowych – zaakceptuj je.
    • Kliknij „Dalej” i postępuj zgodnie z instrukcjami kreatora.

Konfiguracja Bazy Danych

Podczas instalacji zostaniesz poproszony o wybranie bazy danych. Możesz wybrać między WID a SQL Server.

Konfiguracja Miejsca na Dysku

Wybierz ścieżkę, w której WSUS będzie przechowywać pobrane aktualizacje.

Upewnij się, że masz wystarczająco dużo miejsca na wybranej partycji.

Zakończenie Instalacji

Po zakończeniu instalacji, uruchom Kreatora konfiguracji WSUS, aby skonfigurować WSUS.

Kreator poprowadzi Cię przez proces konfiguracji, w tym wybór języków aktualizacji, produktów, których aktualizacje chcesz pobierać, i harmonogram synchronizacji.

Konfiguracja Synchronizacji:

W konsoli administracyjnej WSUS skonfiguruj synchronizację z serwerami Microsoftu. Możesz ustawić harmonogram automatycznej synchronizacji.

Wybieramy języki które potrzebujemy.

W tym miejscu wybieramy produktu które będziemy chcieli aktualizować np. Windows 7,Windows 10, Windows server 2012r2…

Wybieramy jakie grupy aktualizacji nas interesują.

Konfiguracja Zasad Grupy (Group Policy)

Konfiguracja Zasad Grupy (Group Policy) w celu skierowania komputerów końcowych do korzystania z serwera WSUS jest kluczowym krokiem w zarządzaniu aktualizacjami w środowisku korporacyjnym. Oto kroki, które należy wykonać:

Utwórz Nową Zasadę Grupy

  • W konsoli Zarządzania Zasadami Grupy, kliknij prawym przyciskiem myszy na domenę lub jednostkę organizacyjną (OU), dla której chcesz zastosować zasady, i wybierz „Utwórz nowy obiekt GPO w tym miejscu i połącz go tutaj” (Create a new GPO in this domain, and Link it here).
  • Nadaj zasadzie odpowiednią nazwę, np. „WSUS ”.

Konfiguracja Zasad

  • Kliknij prawym przyciskiem myszy na nowo utworzoną zasadę i wybierz „Edytuj” (Edit).
  • W Edytorze Zasad Grupy, przejdź do „Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsWindows Update.

Ustawienia Zasad dla WSUS

Skonfiguruj następujące ustawienia:

  • Configure Automatic Updates: Wybierz „Włączone” i skonfiguruj sposób, w jaki chcesz, aby aktualizacje były instalowane (np. automatycznie, powiadamiając użytkownika itp.).
  • Specify intranet Microsoft update service location: Ustaw na „Włączone” i podaj adres URL serwera WSUS, np. http://AD1:8530.
  • Automatic Updates detection frequency – opóźnienie restartu: Możesz to ustawić, aby kontrolować, jak szybko po instalacji aktualizacji systemy będą restartowane.
  • No auto-restart with logged on users for scheduled automatic updates installations”: Stan: Enabled.
  • Allow Automatic Updates immediate installation”: Stan: Enabled
  • Automatic Updates detection frequency” (Częstotliwość wykrywania aktualizacji): Stan: Enabled. Opcja: Ustaw liczbę godzin np. 8 godzin.

Zastosuj i Rozpowszechnij Zasady

Po skonfigurowaniu zasad, zamknij edytor i upewnij się, że zasady są odpowiednio połączone z odpowiednią jednostką organizacyjną. Aby zasady zaczęły obowiązywać, możesz wymusić aktualizację zasad grupy na komputerach klientów, używając polecenia gpupdate /force na każdym komputerze lub czekając na automatyczną aktualizację zasad, która zwykle następuje w ciągu kilku godzin.

Sprawdź, czy zasady są poprawnie stosowane na komputerach klientów. Możesz użyć polecenia gpresult /R na komputerze klienta, aby sprawdzić, czy zasady zostały zastosowane.

Aby zastosować różne polityki dla komputerów testowych i np. działu księgowości, musisz utworzyć dwie oddzielne Zasady Grupy (Group Policy Objects, GPO) i zastosować je do różnych jednostek organizacyjnych (OU) lub grup w Twojej domenie. Oto kroki, które należy wykonać

Organizacja Struktury Jednostek Organizacyjnych (OU)

  • Upewnij się, że w Twojej domenie Active Directory masz oddzielne jednostki organizacyjne dla komputerów testowych i działu księgowości. Jeśli nie, musisz je utworzyć. Przykładowo, możesz mieć OU o nazwie „Komputery Testowe” i inną o nazwie „Dział Księgowości”.

Utwórz Oddzielne Zasady Grupy

  • W Zarządzaniu Zasadami Grupy (Group Policy Management), utwórz dwie nowe zasady grupy:
    • Jedna dla komputerów testowych, np. „WSUS_PC ”.
    • Druga dla działu księgowości, np. „WSUS_ksiegowosc”.

Konfiguracja Zasad

  • Skonfiguruj każdą zasadę zgodnie z potrzebami odpowiedniej grupy. Na przykład:
    • Dla komputerów testowych możesz ustawić częstsze aktualizacje lub wybrać specyficzne aktualizacje do testowania.
    • Dla działu księgowości możesz ustawić bardziej konserwatywną politykę aktualizacji, aby zapewnić stabilność systemów księgowych.

Zastosuj Zasady do Odpowiednich OU

  • Po skonfigurowaniu zasad, zastosuj każdą z nich do odpowiedniej jednostki organizacyjnej:
    • Przeciągnij i upuść lub kliknij prawym przyciskiem myszy na OU „Komputery Testowe” i połącz z nią zasadę „WSUS_PC”.
    • Powtórz proces dla OU „Dział Księgowości”, łącząc z nią zasadę „WSUS_Ksiegowosc”.

Testowanie i Weryfikacja

  • Po zastosowaniu zasad, przetestuj ich działanie na kilku komputerach w każdej jednostce organizacyjnej, aby upewnić się, że są poprawnie stosowane.
  • Możesz użyć polecenia gpupdate /force na komputerach testowych, aby wymusić aktualizację zasad.
  • Sprawdź, czy zasady są poprawnie stosowane, używając gpresult /R lub narzędzia do zarządzania zasadami grupy.

Aby skonfigurować komputery w sieci do korzystania z Windows Server Update Services (WSUS) za pomocą Zasad Grupy (Group Policy), istnieje kilka kluczowych ustawień, które należy skonfigurować. Oto najważniejsze z nich.

Skonfiguruj automatyczne aktualizacje

  • Ścieżka: Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Windows Update - Skonfiguruj automatyczne aktualizacje
  • Opis: To ustawienie pozwala określić, czy komputery będą automatycznie pobierać i instalować aktualizacje, czy użytkownicy będą mieli możliwość ręcznego wyboru aktualizacji do zainstalowania.

Określ lokalizację usługi aktualizacji Microsoft

  • Ścieżka: Konfiguracja komputeraSzablony administracyjneSkładniki systemu WindowsWindows UpdateOkreśl lokalizację usługi aktualizacji Microsoft
  • Opis: Tutaj wprowadzasz adres URL serwera WSUS, z którego komputery będą pobierać aktualizacje (np. http://TwojSerwerWSUS:8530).

Włącz zarządzanie klientem Windows Update

  • Ścieżka: Konfiguracja komputeraSzablony administracyjneSkładniki systemu WindowsWindows UpdateWłącz zarządzanie klientem Windows Update
  • Opis: To ustawienie pozwala na zarządzanie ustawieniami Windows Update na komputerach klientów.

Nie wyświetlaj powiadomień o konieczności ponownego uruchomienia komputera po zainstalowaniu automatycznych aktualizacji

  • Ścieżka: Konfiguracja komputeraSzablony administracyjneSkładniki systemu WindowsWindows UpdateNie wyświetlaj powiadomień o konieczności ponownego uruchomienia...
  • Opis: To ustawienie jest przydatne w środowiskach, gdzie chcesz uniknąć przeszkadzania użytkownikom nieplanowanymi restartami.

Konfiguracja automatycznych aktualizacji – opóźnienie restartu

  • Ścieżka: Konfiguracja komputeraSzablony administracyjneSkładniki systemu WindowsWindows UpdateKonfiguracja automatycznych aktualizacji – opóźnienie restartu
  • Opis: Pozwala określić, jak długo system ma czekać przed automatycznym ponownym uruchomieniem po zainstalowaniu aktualizacji.

Wyłącz dostęp do wszystkich funkcji Windows Update

  • Ścieżka: Konfiguracja użytkownikaSzablony administracyjneSkładniki systemu WindowsWindows UpdateWyłącz dostęp do wszystkich funkcji Windows Update
  • Opis: To ustawienie jest używane, jeśli chcesz całkowicie zablokować dostęp do Windows Update na komputerach klientów.

Windows Server Update Services (WSUS) nie pobiera wszystkich aktualizacji bezpośrednio z Internetu. Zamiast tego, WSUS działa jako pośrednik między serwerami Microsoftu a komputerami w sieci lokalnej. Oto jak to działa.

Pobieranie Metadanych: WSUS pobiera metadane aktualizacji z serwerów Microsoftu. Metadane te zawierają informacje o dostępnych aktualizacjach, takie jak opis, klasyfikacja, ważność i tak dalej, ale nie zawierają faktycznych plików aktualizacji.

Decyzja o Pobraniu: Na podstawie tych metadanych, administratorzy WSUS mogą zdecydować, które aktualizacje chcą pobrać do swojego serwera WSUS. Decyzja ta może być oparta na różnych kryteriach, takich jak rodzaj aktualizacji, ważność, produkty Microsoftu używane w organizacji itp.

Pobieranie Aktualizacji: Po zatwierdzeniu, WSUS pobiera pełne pakiety aktualizacji z serwerów Microsoftu na serwer WSUS. Te pakiety zawierają faktyczne pliki wymagane do zainstalowania aktualizacji.

Dystrybucja w Sieci Lokalnej: Po pobraniu, aktualizacje są przechowywane na serwerze WSUS. Komputery klientów w sieci lokalnej są następnie skonfigurowane (za pomocą Zasad Grupy lub innych metod) do pobierania i instalowania aktualizacji bezpośrednio z serwera WSUS, a nie z serwerów Microsoftu. To pozwala zaoszczędzić pasmo internetowe, ponieważ aktualizacje są pobierane tylko raz przez serwer WSUS, a następnie dystrybuowane lokalnie.

Raportowanie: Komputery klientów raportują status instalacji aktualizacji z powrotem do serwera WSUS, co pozwala administratorom monitorować, które aktualizacje zostały zainstalowane i na których komputerach.

Jeśli masz problemy z widocznością komputerów w Windows Server Update Services (WSUS), może to być spowodowane kilkoma różnymi kwestiami. Oto kilka typowych problemów i sposobów ich rozwiązania:

Problemy z Komunikacją Sieciową

Firewall/Zapora Sieciowa: Upewnij się, że zapora sieciowa na serwerze WSUS i klientach nie blokuje komunikacji. Porty, które muszą być otwarte, to zazwyczaj 8530 dla HTTP i 8531 dla HTTPS. Połączenie Sieciowe: Sprawdź, czy komputery klientów mogą komunikować się z serwerem WSUS. Możesz to zrobić, na przykład, pingując adres serwera WSUS z komputera klienta.

Konfiguracja Zasad Grupy

Poprawne Ustawienia Zasad Grupy: Upewnij się, że Zasady Grupy są poprawnie skonfigurowane do kierowania komputerów na serwer WSUS. Sprawdź szczególnie ustawienie „Określ lokalizację usługi aktualizacji Microsoft”. Zastosowanie Zasad Grupy: Sprawdź, czy zasady grupy zostały poprawnie zastosowane na komputerach klientów. Możesz to zrobić za pomocą polecenia gpupdate /force i gpresult /R.

Problemy z Usługą Klienta Windows Update

Restart Usługi: Na komputerach klientów spróbuj zrestartować usługę Windows Update. Możesz to zrobić z linii poleceń za pomocą net stop wuauserv i net start wuauserv. Rejestracja Ponowna: Czasami ponowna rejestracja odpowiednich bibliotek DLL może pomóc. Użyj poleceń takich jak regsvr32 wuapi.dll, regsvr32 wuaueng.dll, itd.

Problemy z Konfiguracją Klienta WSUS

ID Klienta: Jeśli kilka komputerów używa tego samego ID klienta WSUS, mogą one nie być poprawnie wyświetlane. Możesz to naprawić, resetując ID klienta WSUS na komputerach klientów. To zwykle wiąże się z edycją rejestru lub usunięciem określonych kluczy rejestru i ponownym uruchomieniem usługi Windows Update.

Problemy z Bazą Danych WSUS

Czyszczenie i Optymalizacja: Regularne czyszczenie i optymalizacja bazy danych WSUS mogą pomóc w rozwiązaniu problemów z wydajnością i widocznością. Microsoft dostarcza narzędzia, takie jak WSUS Cleanup Wizard, które mogą pomóc w tym procesie.

Problemy z generowaniem raportów w WSUS

Jeśli występuje problem z generowaniem raportów to należy zainstalować Report Viewer Redistributable 2008 Service Pack 1 i uruchomić ponownie server.

Logi i Raportowanie

Sprawdzenie Logów: Sprawdź logi Windows Update na komputerach klientów (zazwyczaj znajdują się w C:\Windows\WindowsUpdate.log) oraz logi serwera WSUS, aby znaleźć ewentualne błędy. Ręczne Sprawdzenie Aktualizacji: Spróbuj ręcznie uruchomić wyszukiwanie aktualizacji na komputerze klienta i zobacz, czy komunikuje się on z serwerem WSUS.

Wersja i Aktualizacje WSUS

Aktualizacja WSUS: Upewnij się, że WSUS jest zaktualizowany do najnowszej wersji, ponieważ starsze wersje mogą mieć problemy z kompatybilnością lub błędy, które zostały naprawione w nowszych wydaniach.

Źródła:

Step 1: Install the WSUS Server Role

Windows Server Update Services best practices